¿Jugadores? No, espías: hackers idean cómo ocultar servidores en lugares donde jamás los encontrarán
El grupo UAT-8302 hackeó discretamente a organismos gubernamentales en dos continentes.
El grupo de hackers chino UAT-8302 ha estado atacando de forma encubierta durante casi un año a instituciones estatales en América del Sur y Europa, usando un conjunto de programas maliciosos vinculados con varias conocidas agrupaciones cibernéticas chinas. Los especialistas de Cisco Talos consideran que los atacantes se enfocan en una infiltración a largo plazo en las redes de organismos gubernamentales y en mantener el acceso a la infraestructura de las víctimas.
Los primeros ataques contra organizaciones en América del Sur se registraron a finales de 2024, y en 2025 el grupo cambió su atención a agencias en el sudeste de Europa. Tras la intrusión, UAT-8302 recopila datos, roba cuentas y se propaga por la red interna utilizando herramientas públicas y su propio malware.
Uno de los hallazgos principales fue la puerta trasera NetDraft. El programa está escrito en C# y está vinculado con la familia FinalDraft o SquidDoor, que anteriormente empleó el grupo chino Jewelbug, también conocido como REF7707, CL-STA-0049 y LongNosedGoblin. Cisco Talos señaló que NetDraft ya había aparecido en ataques contra organismos estatales del sudeste asiático, Japón y empresas de TI rusas.
NetDraft utiliza la interfaz Microsoft Graph y el almacenamiento en la nube OneDrive para comunicarse con los servidores de comando. Tras la infección, el malware puede ejecutar comandos, descargar archivos, ejecutar módulos adicionales y controlar el contenido del sistema. Para persistir en el sistema, los atacantes crean tareas ocultas en el programador de tareas de Windows.
Otro de los instrumentos del grupo fue CloudSorcerer v3. Kaspersky Lab había vinculado previamente el programa con ataques contra estructuras estatales rusas. El malware se camufla como procesos legítimos y recibe comandos de control a través de GitHub, OneDrive, Dropbox e incluso perfiles en sitios de videojuegos. El programa puede recopilar información del sistema, ejecutar comandos e inyectarse en otros procesos de Windows.
En los ataques también se utilizó el malware VSHELL junto con los cargadores SNOWLIGHT y una nueva versión SNOWRUST escrita en Rust. Los especialistas de Cisco Talos descubrieron que SNOWRUST descifra componentes de SNOWLIGHT, que luego cargan la carga útil final. Herramientas similares habían sido utilizadas anteriormente por los grupos chinos UNC5174 y UNC6586.
Durante el reconocimiento dentro de la red, UAT-8302 usa activamente PowerShell, Impacket y diversas utilidades para escanear la infraestructura. Los atacantes recopilan información sobre usuarios de Active Directory, recursos de red, registros de Windows y la configuración de los sistemas de seguridad. Para buscar nuevas víctimas dentro de la red, el grupo realiza escaneos masivos de direcciones y comprueba la disponibilidad de recursos SMB.
Para ampliar el acceso, los atacantes emplean herramientas de ejecución remota de comandos vía WMI y el programador de tareas de Windows. Además, los analistas observaron intentos de robo de credenciales desde MobaXterm y el uso de utilidades chinas para configurar servidores proxy y túneles VPN dentro de la red infectada.
Cisco Talos señala que el conjunto de herramientas de UAT-8302 se solapa con varias conocidas agrupaciones cibernéticas chinas, incluyendo Earth Estries, Earth Naga y LongNosedGoblin. Los analistas creen que los participantes de la campaña o bien colaboran estrechamente entre sí, o bien tienen acceso a un conjunto compartido de malware e infraestructura.